Re: atualização de patches

["Marcelo \"Bill\"" <bill@fa7.com.br>]

Osvaldo Mundim Junior wrote:

> Bom dia pessoal,
>
>  
Bom Dia!

> Gostaria de saber dos membros da lista que são administradores de rede, qual 
> ferramenta vcs usam para fazer atualização de patches de segurança nos micros 
> dos usuários. É uma tarefa ardua para quem tem cerca de 500 usuários em 
> diversas redes, e redes separadas fisicamente na maioria das vezes.
>  
Com toda certeza! :)

> No meu caso, tenho estações Linux, Windows e Sun (Solaris) como estações 
> clientes. O que estou procurando é algo do tipo: nos clientes fica um 
> programa que verifica se um certo servidor tem nova atualização disponível. 
Vamos começar....

Sun (Solaris): Não entendo nada em relação à atualizações! Desculpa... nunca tive acesso à estas máquinas!


No caso do linux, acredito que você está utilizando o Debian correto?! 
Assumindo que sim, podemos fazer uso daquela ferramenta excepcional 
chamada apt-get. O que eu faria no teu lugar seria escolher uma destas 
máquinas (a que você possuir acesso fisico mais facilitado) e 
tranfomá-la em um repositório de pacotes, nunca fiz isso na prática, mas 
acredito (com certeza) que um simples servidor de ftp ou até mesmo http 
daria conta do recado. Pode ser mais ou menos assim:

1) Você faz um script que realize um apt-get update e um "apt-get -d 
dist-upgrade" (pesquisa melhor isso de fazer cache dos pacotes)( a opção 
"-d" tem por abjetivo baixar os pacotes atualizados sem instala-los, 
note que desta forma a máquina responsável pelo repositório não será 
atualizada, sendo necessária e aconcelhada uma intervenção física nesta 
máquina no intúito de realizar as devidas atualizações antes da proxima 
vez que o script rodar, para não baixar várias vezes o mesmo arquivo, 
visto que é exatamente isto que estamos tentando evitar :). Copie estes 
arquivos .deb para dentro do "root" do seu servidor de ftp (eles são 
baixados em /var/cache/apt/archives), uma outra forma seria filtrar a 
saída deste ultimo comando para dentro de um arquivo já concatenando 
dentro de um camando wget ou ftp e baixando assim direto para o root do 
teu servidor ftp local, mas assim acredito que terás muito mais trabalho 
e menos confiabilidade!

2) Uma vez feito isto, adicionamos em todos os arquivos 
/etc/apt/sources.list o caminho para o servidor ftp/http  que está 
dentro da nossa rede (a máquina que criamos no ítem 1) e realizamos o 
apt-get dist-upgrade nestas máquinas. Aconcelho à deixar apenas o 
caminho para este servidor no /etc/apt/sources.list, desta forma não 
correrás o risco destas máquinas utilizarem o link Internet nem 
solicitar os cds de instalação (ver OBS 1 Abaixo) para baixar e instalar 
arquivos!

3) É isso ai! Deve funcionar... mas atente à algumas observações e 
conselhos!

*Obs. 1: Seria muito interessante copiar  todos os pacotes dos cds de 
instalação para um sub-diretório do seu servidor de ftp/http. Desta 
forma evita o uso de cds e outras mídias para cobrir possíveis 
dependências e ainda de quebra pode instalar todas as novas máquinas 
linux pela rede, dispensando custos com cds e outras mídias!*

*Obs. 2: Ainda é um desafio para os desenvolvedores Debian a atualização 
totalmente automática de todos os pacotes, como já foi citado nas 
noticias semanais Debian. Então esta solução não dispensa a intervenção 
física nas máquinas para possíveis atualizações. Porém este processo se 
tornará super rápido e pode ser feito (pelo seu número de máquinas) 
durante algumas poucas oras depois do expediente ou aos sábados, etc...*

*Obs. 3: Pesquise um pouco mais sobre como fazer este cache de arquivos 
(devem haver soluções melhores do que esta que vei à minha mente agora). 
Deve, por exemplo, haver alguma forma de criar um espelhamento de 
determinados mirros, tornando assim mais confiável ainda este nosso 
sistema de atualizações e evita a Obs. 5!*

*Obs. 4: O arquivo sources.list pode ser feito apenas uma vez e copiado 
para todas as máquinas! :)*

*Obs. 5: A máquina que servirá como servidor terá que ter instalado 
todos os pacotes contidos nas outras máquinas! (isso pode ser uma grande 
dor de cabeça dependendo do número de máquinas) Veja como implementar a 
Obs. 3! Eu não sei!*

> Caso sim, executa a patch.
Ver *Obs.2*

> Nas estações Windows, não seria uma boa o "Windows Update" pq nein todos os 
> usuários da minha rede acessam internet. E num caso de uma atualização, essa 
> consulta a internet para baixar a patch comprometeria o meu link de internet.
>  
Com relação à Microsoft, acho que você deveria utilizar do seu tão 
dispendioso serviço de suporte para achar uma solução!

Eu cuido de 120 máquinas na minha faculdade e para mim está é a maior 
dor de cabeça!

Por exemplo, eu precisei atualizar o IE 5 para o a versão mais nova. Só 
consegui encontrar aquela porcaria de arquivo de 500 KB que depois faz 
um download de 12 MB em cada máquina!!! Tive que esperar a faculdade 
entrar em férias para atualizar! E mesmo baixando o famoso Service Pack 
3 (no meu caso), ainda tive que baixar várias atualizações de segurança 
anteriores ao lançamento do Service Pack 3, o que não faz muito sentido 
ao meu ver, já que o Service Pack tem uns 150 MB + ou -! Detalhe: 150 MB 
de Puro mistério!

Se você utiliza o Windows 98 ou Me, neste número de máquinas, ai te 
aconselho severamente a mudar de emprego! :)

> Desde já agradeço!
> abraço
> Osvaldo
>
>
>  
Espero ter ajudado, deculpe as brincadeiras e erros de gramática!

bill